如何對 Direct Connect 和 VPN 容錯移轉問題進行疑難排解?

2 分的閱讀內容
0

我想對 AWS Direct Connect 和 VPN 容錯移轉問題進行疑難排解。

解決方法

根據您使用的下列 VPN 對 AWS Direct Connect 和 VPN 容錯移轉問題進行疑難排解:

  • 虛擬閘道型 VPN
  • AWS Transit Gateway 型 VPN

虛擬閘道型 VPN

從 AWS 至內部部署的流量偏好 Direct Connect 而非動態或靜態 VPN 連線。由於以下原因,您的流量可能無法切換:

BGP 型 VPN

  • 客戶閘道未從 VPN 通道上的 BGP 工作階段廣告內部部署字首。
  • 客戶閘道正在篩選透過 VPN BGP 工作階段廣告的字首。
  • 防火牆政策不允許 AWS 與內部部署之間的傳入或傳出流量。
  • 對於兩個通道都啟動的 VPN 連線 (主動/主動),請檢查客戶閘道是否支援非對稱路由。如果您要廣告相同的字首,AWS 會隨機選擇輸出通道。如需詳細資訊,請參閱如何將 Site-to-Site VPN 連線設定為偏好通道 A 而非通道 B?
  • AWS 網路的靜態路由指向 Direct Connect 對等閘道,而不是依賴 BGP 路由。

靜態 VPN

  • VPN 連線沒有在 VPN 連線路由下新增內部部署網路的靜態路由。
  • 客戶閘道沒有指向通道介面的 AWS CIDR 靜態路由。如果有 AWS 網路的靜態路由,請確保它指向正確的通道介面。如果您使用的是政策型 VPN,請確保政策符合 AWS 和內部部署網路。
  • 防火牆政策不允許 AWS 與內部部署之間的傳入或傳出流量。
  • 對於兩個通道都啟動的 VPN 連線 (主動/主動),請檢查客戶閘道是否支援非對稱路由。如果您要廣告相同的字首,AWS 會隨機選擇輸出通道。如需詳細資訊,請參閱如何將 Site-to-Site VPN 連線設定為偏好通道 A 而非通道 B?

虛擬私有閘道

對於作為 Direct Connect 備份且終止於虛擬私有閘道的 VPN,請確定下列事項:

  • 對於動態型 VPN,請透過 VPN 和 Direct Connect 廣告相同的字首。AWS 偏好 Direct Connect。對於內部部署裝置,請確保偏好 Direct Connect 作為指向 AWS 的輸出路徑。
  • 對於靜態 VPN,請針對內部部署網路使用與客戶閘道透過 Direct Connect 廣告的路由相同的靜態路由。虛擬私有閘道偏好使用 Direct Connect 作為內部部署的輸出路徑。確保您具有 Amazon Virtual Private Cloud (Amazon VPC) CIDR 的不太特定的路由。客戶閘道上的靜態路由指標低於 BGP 路由。

**注意:**對於虛擬私有閘道型 VPN,請傳送 MED100200。如果在收到的路由上沒有套用匯入篩選條件,則客戶閘道會偏好 Direct Connect,因為其 MED 值為 0

Transit Gateway 型 VPN

與 Transit Gateway 相關聯的 Direct Connect 會使用 Direct Connect 閘道,並允許最多 200 個字首。對於動態 VPN,Transit Gateway 會根據與 VPN 連線相關聯的 Transit Gateway 路由表來廣告路由。此外,客戶閘道會透過 VPN 連線接收特定字首,並偏好從 VPN 通道路由 AWS 字首。

由於以下原因,您的流量可能無法切換:

BGP 型 VPN

  • 客戶閘道未從 VPN 通道上的 BGP 工作階段廣告內部部署字首。
  • 客戶閘道正在篩選透過 VPN BGP 工作階段廣告的字首。
  • 與流量來源相關聯的 Transit Gateway 路由表。
  • 防火牆政策不允許 AWS 與內部部署之間的傳入或傳出流量。
  • 對於兩個通道都啟動的 VPN 連線 (主動/主動),請檢查客戶閘道是否支援非對稱路由。如果您要廣告相同的字首,AWS 會隨機選擇輸出通道。如需詳細資訊,請參閱如何將 Site-to-Site VPN 連線設定為偏好通道 A 而非通道 B?
  • AWS 網路的靜態路由指向 Direct Connect 對等項,而不是依賴 BGP 路由。

靜態 VPN

  • VPN 連線沒有在 Transit Gateway 路由表下新增指向 VPN 連線的內部部署網路的靜態路由。
  • 客戶閘道沒有指向通道介面的 AWS CIDR 靜態路由。如果有 AWS 網路的靜態路由,請確保它指向正確的通道介面。如果您使用的是政策型 VPN,請確保政策符合 AWS 和內部部署網路。
  • 防火牆政策不允許 AWS 與內部部署之間的傳入或傳出流量。
  • 對於加速 VPN,請確保已開啟 NAT-T。如需詳細資訊,請參閱如何對加速 VPN 的問題進行疑難排解?
  • 對於兩個通道都啟動的 VPN 連線 (主動/主動),請檢查客戶閘道是否支援非對稱路由。如果您要廣告相同的字首,AWS 會隨機選擇輸出通道。如需詳細資訊,請參閱如何將 Site-to-Site VPN 連線設定為偏好通道 A 而非通道 B?

Transit Gateway

對於作為 Direct Connect 備份且終止於 Transit Gateway 的 VPN,請確定下列事項:

  • 對於動態型 VPN,請透過 VPN 和 Direct Connect 廣告相同的字首。AWS 偏好 Direct Connect。對於內部部署裝置,請篩選透過 VPN 連線學習的特定路由。確保輸出客戶閘道的流量偏好 Direct Connect 而非 VPN 連線。
  • 對於 AWS 端上的靜態 VPN,請在 Transit Gateway 上為指向 VPN 連接的內部部署網路新增不太特定的靜態路由。靜態路由優先於從 Direct Connect 傳播的路由 (指向客戶閘道的輸出流量偏好 VPN)。在內部部署端,請確保您具有 Amazon VPC CIDR 的不太特定的路由。靜態路由指標低於 BGP 路由。

**注意:**對於 Transit Gateway 型 VPN 連線,請在兩個 VPN 通道上傳送 MED100。如果在收到的路由上沒有套用匯入篩選條件,則客戶閘道會偏好 Direct Connect,因為其 MED 值為 0

相關資訊

在傳輸閘道中建立 VPN 作為 Direct Connect 的備份時,如何解決非對稱路由問題?

如何使用傳輸閘道設定直接連線和 VPN 容錯移轉?

我有一個主要連線 Direct Connect 閘道,搭配備份 VPN 連線。為什麼流量優先採用備份連線?

AWS 官方
AWS 官方已更新 1 年前